BSI bestätigt Sicherheitseigenschaften von iPhone und iPad – Ernsthaft?!

Apple und das BSI (Bundesamt für Sicherheit in der Informationstechnik) haben zusammengearbeitet und iOS sowie iPadOS einer Prüfung unterzogen und die Betriebssysteme erhalten die Freigabe für “Nur für den Dienstgebrauch”. Auch die First-Party-Apps Mail, Kontakte und Kalender erhalten die Freigabe, was ein gewisses Geschmäckle mit sich bringt.

Es ist an sich begrüßenswert, dass die Geräte von Apple diese Freigabe erhalten. Mit dem Prüfungsergebnis ist der Einsatz als geschäftliche Endgeräte auch im Enterprise Bereich leichter, da man das Ergebnis als Argumentationshilfe heranziehen kann. Doch iOS hat strukturelle Schwächen/Herausforderungen, welche nicht zu einem Blindflug führen sollten indem man nun einfach iOS Geräte per MDM einsetzt und die nativen First-Party-Apps verwendet.

Es gab in den letzten zwei Jahren ein paar Sicherheitslücken, welche die oben genannten Anwendungen von Apple betrafen. Das BSI riet damals sogar, die Anwendungen zu deinstallieren.
Die erste strukturelle Schwäche ist nun, dass Apple ein OS Update verteilen muss, um die Anwendungen aktualisieren zu können. Dies könnte behoben werden, wenn die Anwendungen über den App Store verteilt werden würden. Und die reine Bereitstellung eines OS Updates reicht nicht, es muss auch auf dem Endgerät installiert werden. Hier kommt die nächste Schwäche: Apple bietet kein feingranulares Updatemanagementsystems. So kann man nur bei der Verwendung eines MDMs mit einem Compliance Profil arbeiten. Als Beispiel: Ist auf dem Gerät nicht Version xx.yy installiert, blockiere den Zugriff auf geschäftliche Daten.

Einen weiteren Sicherheitslayer erhält man nur, wenn man für die PIM Daten (Mail, Kontakte, Kalender) AppContainer nutzt. Entweder bietet der eingesetzte MDM Anbieter solche Anwendungen an oder man nutzt zum Beispiel die Outlook App. Letzt genannte macht beim Einsatz von Exchange Online und oder Azure einzig Sinn, da hier feingranularere Sicherheitseinstellungen sowie Funktionen wie SharedMailbox möglich sind.

Dieser Beitrag hat einen Kommentar

Schreibe einen Kommentar